Kyberhyökkäys maksoi yritykselle 250 000 euroa. Osa rahoista saatiin takaisin vakuutuksesta. Kuva: Getty Images
14.1.2022 klo 08:54
Uutinen

Kun Tuomaksen yrityksen tietoverkkoon hyökättiin, piru oli irti – Nyt hän kertoo, mitä se opetti: ”Perustason stressin voi kertoa sadalla”

Kyberhyökkäyksen kohteeksi vuonna 2019 joutunut yrittäjä Tuomas Saarelainen neuvoo yrityksiä varmistamaan riittävän vakuutusturvan. Saarelainen kertoo oman yrityksensä tarinan, jotta muut voivat ottaa siitä oppia.

Helsinkiläisessä tietotekniikka-alan yrityksessä elettiin vuoden 2019 keväällä kauhunsekaisia hetkiä.

Yrittäjä Tuomas Saarelainen oli lomalla Espanjan auringossa, kun hänen puhelimeensa kilahti epämieluisa tekstiviesti.

– Siinä luki, että yrityksemme palvelut ovat alhaalla, hän muistelee nyt.

Käyttökatkoksen syy ei selvinnyt heti. Saarelainen kävi ensin kriisipalaverin konesalipalveluista vastaavan palveluntarjoajan kanssa. Sitten hän soitti vakuutusyhtiöön ja lakimiehelle. Saman päivän illalla alkoi kirkastua, että kyseessä on luultua laajempi ongelma.

– Selvisi, että kyse oli kyberhyökkäyksestä. Lomailu loppui siihen paikkaan, Saarelainen kertoo.

Hyökkäyksessä ei viety tietoja, mutta järjestelmä rikottiin täydellisesti. Tuolloin 500 000 euron liikevaihtoa tehnyt yritys joutui vähintäänkin haastavaan tilanteeseen.

”Selvisi, että kyse oli kyberhyökkäyksestä. Lomailu loppui siihen paikkaan.”

Tuomas Saarelainen

– Siinä tilanteessa pelkäsin, lähtevätkö asiakkaat, mikä on yritykselle koituva mainehaitta, miksi näin on tapahtunut ja mitä rikolliset havittelevat. Yrittäjän paine on sellaisessa tilanteessa niin järkyttävän iso, että perustason stressin voi kertoa sadalla. Sitten pitäisi vielä pystyä toimimaan järkiperäisesti ja tekemään fiksuja päätöksiä.

Kyberhyökkäyksestä koituneet vahingot nousivat lopulta 250 000 euroon. Osan vahingoista korvasi tietoturvavakuutus.

– Nykyään todella tiedän, mitä tarkoittaa rahan pistäminen talteen pahan päivän varalle.

Yhteys kriisiviestinnän konsulttiin

Samana iltana, kun tilanne alkoi Saarelaisen sanojen mukaan ”eskaloitua”, hän otti yhteyttä tuntemaansa kriisiviestinnän konsulttiin.

Alkoi olla kiire, sillä EU:n tietosuoja-asetuksen mukaan henkilötietojen tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun rekisterinpitäjä on saanut tiedon tapahtuneesta.

– Siinä vaiheessa asiakaspalveluun alkoi tulla paljon tiedusteluja liittyen käyttökatkokseen. Koko prosessin ehdottomasti tärkein viesti oli se, jossa pyysin apua konsultilta.

Konsultin pyynnöstö Saarelaisen yritys alkoi pitää tietomurtopäiväkirjaa, johon kirjattiin kaikki toimenpiteet prosessin aikana. Samaan aikaan konsultti otti haltuun asiakasviestinnän ja julkisuuden hallinnan toimenpiteet perinteisessä mediassa ja sosiaalisessa mediassa.  Yrityksessä muodostettiin kriisinhallintatiimi, johon kuuluivat yrityksen edustaja, juristi ja kriisiviestintäkonsultti. Tiimi piti yhteyttä lukuisia kertoja päivässä.

– Kyberiskun tutkinnassa olivat mukana Kyberturvallisuuskeskus, tietosuojaviranmaiset, palveluntarjoaja, yrityksen tekninen henkilöstö ja keskusrikospoliisi. Välillä tuntui, että tutkinta sai elokuvalliset mittasuhteet, Saarelainen muistaa.

”Kyberkriisi vaarantaa koko bisneksen”

Yksikään asiakas ei lopulta lähtenyt kyberhyökkäyksen takia.

– Olin huojentunut, että saimme enemmänkin tsemppausviestejä ja kehuja siitä, miten aktiivisesti pidimme asiakkaat tietoisina prosessin etenemisestä. Viestejä lähti asiakkaille yhdestä kolmeen päivässä.

Kyberhyökkäyksen tekijä tai motiivi eivät koskaan selvinneet. Kuva: Getty Images

Kyberiskun jälkeinen prosessi vei lopulta vuoden. Järjestelmänhaltija rakensi yrityksen järjestelmät käytännössä kokonaan uusiksi.

– Päivittäiseen bisnekseen siirtyminen vei melko kauan. Olen äärimmäisen kiitollinen yrityksen työntekijöille siitä, että heillä riitti jaksamista ja tahtoa ponnistella kamalassa tilanteessa.

Kyberiskun jälkeinen prosessi vei lopulta vuoden.

Tietomurron tekijä ei koskaan selvinnyt, kuten ei myöskään motiivi. Saarelaisen mukaan poissuljettua ei ole, että kyseessä oli tilaustyö.

– Sen opin, että kyberkriisissä koko yrityksen bisnes on vaarassa. Tällaisen tilanteen varalta tarvitaan aina ryhmä ammattilaisia ja sellaisia kumppaneita, jotka tuovat henkistä tukea ja varmistavat yrityksen toimintakyvyn. Yrittäjän kannalta tilanne oli kuin olisi kävellyt pimeässä huoneessa.

Tuomas Saarelaisen vinkit yrittäjälle

  1. Varmista, että yrityksellä on kyberturva- tai tietoturvavakuutus. Vakuutukseen tulisi sisältyä maineriskin kokonaisvaltainen korvaus, liiketoiminnan keskeytymisen täysimääräinen korvaus, korvaus asiakkaille aiheutuneista vahingoista, korvaus GDPR:n vaatimuksista aiheutuneista kuluista, sekä korvaus yksityisyyden suojan rikkoutumisesta ja tietojen palauttamisesta aiheutuneista vahingoista.
  2. Tee selväksi, kuka vastaa yrityksesi tietoturvasta.
  3. Pidä tärkeimmät yhteystiedot prioriteettijärjestyksessä kriisitilanteen varalta.
Pauli Reinikainen